0
我目前正在尝试在Java中为使用xml/json有效载荷的Web应用程序实施威胁防护机制。如何检测恶意的XML/JSON有效载荷?
我想知道,有没有什么办法/库检测,XML/JSON元素
- 长度
- 深度XML/JSON文件的属性
- 属性的
- 长度每个元素的计数
除此之外,我必须在不解析文档的情况下执行这些操作,因为如果我们解析文档t,恶意的xml/json文档可能会攻击解析器。提前致谢。
我目前正在尝试在Java中为使用xml/json有效载荷的Web应用程序实施威胁防护机制。如何检测恶意的XML/JSON有效载荷?
我想知道,有没有什么办法/库检测,XML/JSON元素
除此之外,我必须在不解析文档的情况下执行这些操作,因为如果我们解析文档t,恶意的xml/json文档可能会攻击解析器。提前致谢。
使用XML库的Java应用程序特别容易受到XXE的影响,因为大多数Java XML解析器的默认设置是启用了XXE。要安全地使用这些解析器,必须在使用的解析器中显式禁用XXE。以下链接可能会对您有所帮助。
https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet#Java
如果没有解析,您将无法获得任何这些指标。所以你实际上在寻找的是一个解析器,它强加了用户指定的限制。我不认为这样的解析器存在,但是当然也有可以修改的开源解析器。 –
@MichaelKay非常感谢您的见解Michael。我会研究一些图书馆。 –